- IPCop
-
IPCop ist eine freie Linux-Distribution, die in erster Linie als Router und Firewall fungiert. Darüber hinaus bietet die Distribution noch ausgewählte Server-Dienste an und kann um zusätzliche Funktionen erweitert werden. IPCop basierte bis zur Version 1.3.0 auf der freien GPL-Version von Smoothwall, seit der Version 1.4.0 basiert IPCop auf Linux From Scratch (kurz LFS).
Inhaltsverzeichnis
Server-Dienste
Der IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxyserver (Squid), einen DHCP-Server, einen Caching-Nameserver (dnsmasq) sowie ein Intrusion Detection System (Snort) bereit. Weitere Funktionen wie Traffic-Shaping, VPN und Dynamic DNS sind vorhanden.
Systemvoraussetzungen
Die benötigte Rechenleistung des PCs richtet sich nach dem Einsatzbereich. Erforderlich sind 133 MHz mit 32 MByte RAM (besser 64 MByte). Es werden mindestens 2 Netzwerkkarten benötigt (PCI, PCMCIA, USB, ISA oder VL-Bus), eine für den Anschluss ans Internet (über DSL oder einen anderen Router), eine zum Anschluss ans LAN.
Die Rechenleistung bei privatem Gebrauch kann bereits ein 486er übernehmen, wenn man Squid und das Intrusion Detection System (IDS) abschaltet.
Schnittstellen
Firewall-Regeln der Schnittstellen
IPCop unterscheidet zwischen unterschiedlichen Netzwerken, die verschiedenfarbig dargestellt werden. Das grüne Netzwerk stellt das eigene LAN dar, das rote Netzwerk symbolisiert das „ungeschützte“ Internet. Ein eventuell vorhandenes WLAN wird durch die Farbe Blau symbolisiert, während orange die DMZ (Demilitarized Zone) darstellt. Diese wird für Server verwendet, die aus dem Internet erreichbar sein sollen (Webserver, FTP-Server, etc.). Würde nun dieses Netzwerk erfolgreich angegriffen (kompromittiert), sind die anderen Netzwerke davon unabhängig geschützt.
Für jedes Netzwerk, das verwendet wird, wird eine eigene Netzwerkkarte mit IP-Adresse benötigt. Es ist nicht erforderlich, jedes Netzwerk zu verwenden. Ist kein WLAN vorhanden, existiert einfach kein blaues Netzwerk. Ist kein Webserver (o. ä.) vorhanden, wird keine DMZ, also kein oranges Netzwerk benötigt. Die Mindestausstattung mit einem roten und grünen Netzwerk kann durch Add-ons auf bis zu vier weitere Netzwerkkarten und damit Netze – unabhängig von blau und orange – erweitert werden. Jedes dieser Netze ist separat und durch die Firewall geschützt.
Web-Schnittstelle
Versionen (Auswahl) Version Datum 0.0.9 28. Dezember 2001 0.1.0 3. Januar 2002 0.1.1 22. Januar 2002 1.2.0 27. Dezember 2002 1.3.0 22. April 2003 1.4.0 1. Oktober 2004 1.4.5 30. März 2005 1.4.10 9. November 2005 1.4.13 16. Januar 2007 1.4.18 1. Dezember 2007 1.4.21 23. Juli 2008 2.0.0 23. September 2011 Konfiguriert wird der IPCop über eine Webschnittstelle, zu erreichen über http://SERVERNAME:81 oder über SSL auf https://SERVERNAME:445 (Standardports - können bzw. sollen aus Sicherheitsgründen geändert werden, da 445 durch viele Provider mittlerweile blockiert wird), alternativ zum Servernamen auch über dessen IP-Adresse.
Über dieses Web-Interface können dann Einstellungen wie Port-Weiterleitung, öffnen von Ports (externer Zugang), Proxy- und DHCP-Server, aber auch DDNS (dynamisches DNS), Traffic-Shaping, IDS und Zeitserver (NTP) konfiguriert werden. Des Weiteren erhält man über die Webschnittstelle Zugriff auf die verschiedenen Log-Dateien und deren Auswertungen, die z.T. auch als Grafiken bereitgestellt werden.
Auf die Unix-Shell kann der Benutzer auch zugreifen, um tiefergehende Konfigurationen zu erstellen oder zu ändern. Der Zugriff erfolgt hierbei dann per SSH auf dem Port 222. Sehr verbreitet und auch ohne Linux-Kenntnisse leicht nutzbar sind WinScp und PuTTY.
Die Möglichkeiten des IPCop lassen sich über Add-Ons erweitern, wie z.B. mit einem URL-Filter, dem Open-VPN ZERINA oder einem Layer-7-Filter. Die Erweiterungen werden auf der offiziellen Website von IPCop veröffentlicht.
Sicherheitsaspekte
IPCop liefert mit der Basisinstallation viele Dienste und ist darüber hinaus mit Add-Ons anpassbar. Doch hier wird ein Kompromiss zwischen Leistungs- bzw. Funktionsumfang und Sicherheit gemacht, da unter steigernder komplexität auch die Sicherheit leiden kann. Bereits mit der Grundinstallation wird ein für die Firewall-Funktionen nicht notwendiger Webserver sowie ein NTP-Server installiert, diese können für Angriffe ausgenutzt werden. Auch diverse Add-Ons wie etwa Samba können zusätzliche Angriffsflächen schaffen.[1]
Die Zeitschrift c’t hatte 2005 im Rahmen eines Server-Projekts den c’t-Debian-Server[2] vorgestellt, in dem IPCop in User Mode Linux (UML), einer virtuellen Maschine unter einem umfangreich ausgestatteten Linux-Home-Server-System mit verschiedenen Netzwerkdiensten läuft. Dieses Vorgehen wird jedoch von vielen Fachleuten als unsicher eingestuft, da ein Angreifer die Kontrolle über den virtuellen Host übernehmen könnte.[3] In der aktuellen Version des Beispielservers wurden diese Risiken durch den Einsatz von Xen und zwei darauf basierenden virtuellen Servern verringert.[4]
Problematisch könnte sich auch die allgemein schleppende Entwicklung von IPCop auf die Sicherheit auswirken. Die letzte stabile Version stammt vom 23. September 2011. Davor erschienen über 2 Jahre keinerlei Sicherheitsupdates oder Patches.
LCD4Linux
LCD4Linux ist eine Erweiterung, die es ermöglicht Informationen auf einem LC-Display, welches über die serielle Schnittstelle angeschlossen ist, anzeigen zu lassen.
Siehe Auch
- Endian Firewall, eine Abspaltung von IPCop
- IPFire, Fork/Weiterentwicklung von IPCop
Literatur
- Marco Sondermann: IPCop kompakt: mehr Sicherheit für Ihr lokales Netz dank des freien Firewall-Systems. Bomots Verlag, 2008, ISBN 978-3-939316-41-1.
Einzelnachweise
- ↑ Sicherheitslücke in Datei- und Druckserver Samba geschlossen, heise.de, 11. Dezember 2007
- ↑ c’t-Debian-Server aus Heft 04/2005
- ↑ Artikel bei IPcop-Forum.de
- ↑ c’t-Debian-Server aus Heft 14/2007
Weblinks
- Homepage(englisch)
- IP Cop Forum (deutsch)
- Proenz Anleitungen, Skripte, Links und vieles mehr (deutsch)
- Dokumentation Installations- und Administrationshandbuch, weitere Dokumentationen
- SourceForge-Projektseite
- LCD4Linux-Projektseite
Kategorien:- Linux-Distribution
- Freie Sicherheitssoftware
- Linux-Distribution für Netzwerkdienst
- Freies Betriebssystem
Wikimedia Foundation.
